Campagna di attacco PurpleBravo
Gli analisti di threat intelligence hanno identificato 3.136 indirizzi IP individuali collegati a probabili obiettivi della campagna Contagious Interview. Si ritiene che l'operazione coinvolga 20 potenziali organizzazioni vittime operanti nei settori dell'intelligenza artificiale, delle criptovalute, dei servizi finanziari, dei servizi IT, del marketing e dello sviluppo software. Le entità interessate si trovano in Europa, Asia meridionale, Medio Oriente e America Centrale, a sottolineare la portata globale dell'attività.
Si stima che gli indirizzi IP, concentrati principalmente nell'Asia meridionale e nel Nord America, siano stati presi di mira tra agosto 2024 e settembre 2025. Le aziende interessate avrebbero sede in Belgio, Bulgaria, Costa Rica, India, Italia, Paesi Bassi, Pakistan, Romania, Emirati Arabi Uniti e Vietnam.
Sommario
PurpleBravo: un prolifico cluster di minacce nordcoreane
L'attività è attribuita a un cluster legato alla Corea del Nord, identificato come PurpleBravo, documentato per la prima volta alla fine del 2023. Questo gruppo è noto nella comunità della sicurezza con diverse denominazioni, a dimostrazione di un ampio monitoraggio del settore:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi e WaterPlum
PurpleBravo ha dimostrato investimenti costanti in infrastrutture a lungo termine, tecniche di ingegneria sociale e sviluppo di malware, in linea con obiettivi che combinano spionaggio informatico e furto finanziario.
Sfruttare il processo di assunzione e l’ecosistema degli sviluppatori
Le recenti scoperte seguono la divulgazione di un'importante evoluzione nella campagna Contagious Interview, in cui gli aggressori sfruttano progetti dannosi di Microsoft Visual Studio Code per distribuire backdoor. Questa tattica sfrutta in modo improprio strumenti e flussi di lavoro di sviluppo affidabili, aumentando la probabilità di compromissione.
I ricercatori hanno identificato profili LinkedIn fraudolenti che si spacciavano per sviluppatori e reclutatori, sostenendo di operare da Odessa, in Ucraina, insieme a repository GitHub dannosi progettati per distribuire malware come BeaverTail. In diversi casi, i candidati in cerca di lavoro avrebbero eseguito codice dannoso su dispositivi aziendali, estendendo la compromissione oltre i singoli individui e direttamente agli ambienti aziendali.
Arsenale di malware e infrastruttura di comando
PurpleBravo gestisce infrastrutture di comando e controllo separate per supportare diverse famiglie di malware. Tra queste, BeaverTail, un infostealer e loader basato su JavaScript, e GolangGhost (anche monitorato come FlexibleFerret o WeaselStore), una backdoor basata su Go derivata dal progetto open source HackBrowserData.
I server C2 del gruppo sono distribuiti tra 17 provider di hosting e sono amministrati tramite Astrill VPN, con attività di gestione riconducibili a intervalli IP in Cina. L'utilizzo di Astrill VPN è stato ripetutamente documentato in precedenti operazioni informatiche nordcoreane, rafforzando la fiducia nell'attribuzione.
Convergenza con la minaccia dei lavoratori IT “Wagemole”
Contagious Interview è stata valutata come complementare a una campagna separata ma correlata, nota come Wagemole (PurpleDelta). Tale operazione coinvolge personale IT nordcoreano che si assicura un impiego non autorizzato sotto identità rubate o falsificate, principalmente per generare profitti e condurre attività di spionaggio. Sebbene Wagemole sia attiva dal 2017 e venga monitorata come un cluster distinto, gli investigatori hanno scoperto notevoli sovrapposizioni tattiche e infrastrutturali.
I collegamenti osservati includono operatori PurpleBravo che mostrano comportamenti coerenti con quelli dei lavoratori IT nordcoreani, indirizzi IP russi collegati ad attività note dei lavoratori IT che comunicano con l'infrastruttura PurpleBravo e nodi VPN Astrill condivisi associati a entrambi i cluster.
Aumento del rischio aziendale e della catena di fornitura
Una tendenza particolarmente preoccupante è l'utilizzo di offerte di lavoro fittizie per indurre i candidati a completare valutazioni di programmazione su sistemi di proprietà del datore di lavoro, trasformando di fatto una truffa di reclutamento in un vettore di intrusione aziendale. Ciò dimostra che la supply chain del software e dell'IT è altamente suscettibile alle infiltrazioni, anche al di fuori dei ben pubblicizzati programmi di assunzione per i lavoratori IT.
Molte delle organizzazioni prese di mira pubblicizzano ampie basi di clienti, amplificando il potenziale di compromissione della supply chain a valle. I ricercatori di sicurezza avvertono che, sebbene la minaccia rappresentata dai lavoratori IT nordcoreani abbia ricevuto ampia attenzione, il modello di infiltrazione nella supply chain PurpleBravo merita altrettanta priorità. Le organizzazioni sono invitate a rafforzare i processi di assunzione, i controlli dell'ambiente di sviluppo e la gestione del rischio di terze parti per rilevare, interrompere e prevenire l'esposizione di dati sensibili agli autori di minacce nordcoreani.
